Mam problem z robakiem svhost

0

Cześć wiem że te forum nie zajmuje się przeviw działaniem wirusów i robaków. Mam problem z robakiem najprawdopodobnij jest Mydoom ale niejestem pewny na 100%. Mam firewall'a i ciągle program svhost.exe próbuje mi się łączyć, próbowałem go znaleŹć na moich dyskach, akle bez powodzenia gdyż go nie odnajduje. Dziwi mnie to że gdy blokuje go mój firewall'a to ścieżka wskazuje na Windows\svhost.exe ale takiego pliki w ogóle nie ma. Próbowałem skasować plik w rejestrze ale robak zamyka mi edytor rejestru. Więc przeszłem w tryb awaryjny i tam owszem skasowałem wpis z HLM\Run i innych wpisach ale po zrestetowaniu do trybu normalnego robak nadal znajduje sie w moim komputerze. Próbowałem nawet znaleŹć proces w Menedżer Zadań ale żadnego takiego wpisu nie znalazłem . próbowałem nawet po kolei usuwać wszystkie procesy ale to nic nie daje. Nie wiem w jaki sposób on znajduje się w pamięci. Teraz pisze program do odczytu rejestru mam nadzieje /jestem pewny/ że nie zna uchwytu.
Mam prosbe czy może mi ktos pomóc jak mogę usunąć tego robaka, próbowałem juz kilku antywirusów Nortonem antywirusem 2003 i MKS On-Line

0

na stronie mks masz darmowy skaner do najpopularniejszych robaków, polecam też ad-aware a jak i to nie pomoże to chyba tylko format.... ew. zablokuj sobie Firewallem łączenie sie tego programu z internetem (NiS ma taką opcje)

0

Uzywałem już mks ON-Line a nawet robiłem format i zakładałem nową partycję. Nie wiem skąd go wyczasnołem /tego robaka/ praktycznie nie używam Kazzy a emaile tylko ze znajomych i nigdy załączników nie odbieram no tylko od znajomych ale w formatach dokumentów doc rar itp.

0
  1. To nie robak, tylko coś od microshitu.
  2. też to mam.
  3. Nie znajduje tego, bo jest to plik systemowy(ukryty).
  4. jak już to znajdziesz i wywalisz to jak znam Windowsa to Ci sie nawet nie uruchomi...
  5. Czyli - NIE RUSZAĆ!
0

Uzywałem już mks ON-Line a nawet robiłem format i zakładałem nową partycję. Nie wiem skąd go wyczasnołem /tego robaka/ praktycznie nie używam Kazzy a emaile tylko ze znajomych i nigdy załączników nie odbieram no tylko od znajomych ale w formatach dokumentów doc rar itp.

Tworcy robali nie sa bogami, jesli sformatowales dysk to po prostu zlapales to drugi raz.

  1. To nie robak, tylko coś od microshitu.

Skoro zamyka regedita to nie jest z ms.

0

Kolego - masz po prostu Blastera :P

tak jak już ktoś powiedział - MKs, ale wcześniej proponuje odwiedzić strone http://error.xp.pl i tam (wiem, że to o XP) ściągnąć odpowiednie łaty do swojego systemu od M$. Potem MKS i jakiś FireWall... Powodzenia

//dopisane:

co do MKS, nie ma sensu sciągać całego skanera... Tu masz narzedzie do usuwania wszystkich znanych i popularnych robali : http://www.mks.com.pl/files/pomoc/MksClean.exe

0

Na przyszlosc polecam: http://www.avast.com/

0

Na 100% nie zamyka regedit, bo sam to mam na kompie i wszystko działa!
W złym miejscu szukacie!

0

Na 100% nie zamyka regedit, bo sam to mam na kompie i wszystko działa!
W złym miejscu szukacie!

Wszyscy go maja, ale co za problem go podmienic o_O

0

Używałem już narzedzi MKSa sprawdzałem czy nie mam blasta. Jesli chodzi że jest to program ms windowsa, to chyba nie mogę się z tym zgodzic kiedyś miałem podobny problem i go usunąłem właśnie w trybie awaryjnym ort! klucz z "Run" i więcej go nie miałem, tylko teraz nie moge tej operacji powtórzyc bo jak usunę z rejestru w trybie awaryjnym to trybie normalnym znowu się pojawia.

Jeśli chodzi o to że go znowu złapałem, to nie wiem w jaki sposób 3 dni temu robiłem format systemu, mam zewnętrzny adres i nie mam dostepu do sieci LAN a po zianstalowaniu systemu niec nie ściągnąłem jedynie Tweak XP sharware z oficjalnej strony. Możliwe że go mam gdzieś na innych dyskach. Ale jestem zapobiegliwy i co jakiś czas skanuję dyski wszystkie. I nic mi nie wskazuje że mam jakiegoś robaka lub wirusa.

0

Posłuchaj: Plik svchost.exe jest standardowym elementem Windowsów NT/2000/XP/2003 Server. I sama jego obecność nie jest zagrożeniem dla Twojego komputera. Natomiast wiem, że <ort>śwerza </ort>instalacja systemu XP zawiera dziury, które po połączeniu do Internetu ściągają wirusy: Blaster i Sasser (świerze instalacje). Należy te dziury załatać jak najszybciej oficjalnymi łatkami (do ściągnięcia z www.microsoft.com), a wirusy usunąć przy pomocy narzedzi antywirusowych (np. MKS Clean). Jeżeli te nie wykrywaja wirusa, a dziury masz załatane, to nie ma powodu do paniki - system Windows i tak bedzie uruchamiał svchost.exe (4 procesy) - są to pliki niezbedne do jego działania i obsługi sieci...

0

Ale tu nie chodzi svchost.exe ja wiem że jest to plik systemowy MS WIndows tu chodzi o plik svhost.exe który nie jest systemowy. Nie wiem nawej jak on ukrywa sie w procesach bo w aktywnych procesach odczytywanych z mandz. zadan nie widniej a edytor rejestru jest ciągle zamykany nie moge go nawet otworzyć. Jest jeszcze inny ankament napoczatku jak <ort>kapnołem </ort>się że mam jakiegoś robaka to w przeglądarce ciągle mi się otwierała zamiast google która była startową strona otwierało mi się jakieś kasyno. A jak wpisywałem adres onetu to zamiast strony onetu wchodziło mi na strone tego kasyna a nastepnie zostawało zamkniety proces iexplorer.exe używałem juz kilku antywirusów i nic wszystkie wykazywały żę wszystko ort!

0

To robisz tak:

włączasz sobie msconfig, i na zakładce Autostart wywalasz wszystko, co brzydko pachnie (powinno być też to twoje svhost.exe).

Jeżeli tam nie ma, to bedzie w rejestrze w HKLM\software\microsoft\windows\current version\run lub RunOnce etc <- wywal to
HKCU\software\microsoft\windows\current version\run lub RunOnce etc <-te też wywal...

Jeśli i to nie pomaga, to w msconfigu masz zakłądke Usługi, na dole checkbox'a [Ukryj Microsoftu...] - zaznacz go... zostaną ci usługi, które nie są instalowane przez windows - jak nie wiesz do czego są-> to też je odznacz...

Zanimjednak coś zrobisz zabij ten proces, bo na pewno nadpisuje sie do autouruchomienia przy zamknieciu.

Jeżeli Regedita nie możesz włączyć - to spróbuj zmienić jego nazwe z regedit.exe na np. rejestr.exe - być może ten wirus zabije proces, biorąc za uchwyt wyłącznie jego nazwe...

POWODZENIA

0

Wydaje mi się, że ja też to mam, co więcej nie wiem skąd. Nie śledziłem dokładnie gadki na forum, ale u mnie objawia się tym, że nie można włączyć regedit (można ale coś go zaraz wyłącza :-/ ), tak samo dzieje się z Menadżerem Zadań (Ctrl+Alt+Del).
Jak sobie z tym radze, bo to chyba ciekawi wszystkich najbardziej ??
Mam na dysku program FAK (genialna zabawka). I po kilku minutach prób okazało się że to co się dzieje jest wywoływane przez MSN Messenger.
Nazwy, które wykorzystuje: (chodzi o procesy)
cejsclk.exe
bdteeh.exe
jrbsidm.exe
po wyłączeniu tych procesów wszystko wraca do normy [hurra] [hurra] [hurra]

Dobra, a teraz kilka programów które pozwolą zabijać (ale tylko procesy):
FAK - pisałem o nim wcześniej (nie wiem gdzie można go znaleźć, ale jeżeli będzie taka potrzeba to mogę go zamieścić w necie)
WinPatrol - dopiero co zainstalowałem, genialny programik

obydwa programiki są freeware

jakby jakieś pytanka to jestem na gadu, pod mailem i pewnie jeszcze odwiedze ten temat [cya]

PS. Jeżeli chodzio blastera, to też mam do tego łatkę i mogę udostępnić
PS2. Używam Avasta Home (wcześniej AVPersonal) i jestem z niego o wiele bardziej zadowolony niż z poprzednika

0

[Sorki jeżeli problem rozwiązany i robak usunięty, ale posta i tak napisze :]

To na pewno jest Blaster. Svchost.exe jest częścia windy i jak to u windy bywa - była w nim dziura. Dziura została wykorzystana w wirusie Blaster (chyba nie tylko w nim, ale blaster jest jedynym który potrafił dobrze sie rozpropagować).

(*? oznacza że nie jestem pewien, nie pamiętam)

I. Objawy istnienia

  1. RegEdit po kilku chwilach się zamyka. (pewne!)
  2. Jest więcej procesów svchost niż nomalnie (*?, jeżeli masz ich dużo to nie znaczy że koniecznie masz Blastera, 2-5 to normalna liczba)
  3. Ctrl-C i V nie działa (cały schowek nie działa *? )
  4. Jakieś tam wpisy w rejestrze.. (patrz niżej)
  5. Problem dotyczy tylko windy 2K i XP (*?)
  6. Pojawiają się błedy svchost (?), komputer wiesza się po jakimś czasie (?? - gdzieś tak słyszałem, nie zauważyłem u siebie)
  7. Mało pamięci
  8. Panel sterowania <ort>zjebany </ort>(*??)
  9. Uruchomiony proces o nazwie msblaster (*?)

II. Sposobów usuwania jest kilka- spróbuj n-ty, uruchom ponownie kompa, sprawdź czy działa, n++ :)
Jeżeli nie możesz zrobić czegoś z powodu np. zamykającego się explorera, zrób to w dos'ie

A. (TYLKO ten działał mi, równocześnie zabezpiecza przed ponownymi atakami)

  1. Dla Windows2000: http://www.microsoft.com/downloads/details.aspx?FamilyID=c8b8a846-f541-4c15-8c9f-220354449117&displaylang=en
  2. Dla WinXP: http://www.microsoft.com/downloads/details.aspx?FamilyID=c8b8a846-f541-4c15-8c9f-220354449117&displaylang=en
  3. Jak to nie działa to poszukaj na stronie microshitu update'y
    (menu start->"win***s update")
  4. Jeżeli problem wróci- podobno instalowanie SP4 po tej łatce powoduje usunięcie łatki, spróbuj ją zainstalować ponownie

B. (super okrojona wersja, dla niektórych jednak działa, nie zabezpiecza przed przyszłym ort!)

  1. Zamknij msblast.exe (w Menedżerze Zadań, sprawdzaj czy nie jest uruchomiony jeżeli kolejne kroki nie działają) lub uruchom kompa w trybie awaryjnym
  2. Znajdz plik (i wszelkie kopie) msblast.exe i usuń (shift+delete [diabel] )
  3. Uruchom regedit, usuń w HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    wartość "windows auto update"="msblast.exe"

C. Weź jakieś programy do usuwania Blaster'a
(np. http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html )
lub zainstaluj antywirus (AntiVir najlepszy, patrz niżej :) i skanuj całe C:

D. Jeżeli to nie działa, powiedz, spobuje znaleźć. Użyj google'a, poszukaj na forum (ang) www.computing.net .

III. Sposób zabezpieczenia

  1. Łatki do windy (www.micr***ft.com lub w menu start kliknij 'Winshit update')
  2. Antywirusik - polecam darmowy AntiVir (www.free-av.com) Troche brzydki interfejs, ale jako pierwszy potrafił usuwać Blaster'a, jest darmowy, jest baardzo dobry, ilość wykrywanych wirusów porównywalna do innych, zajmuje mało miejsca, często aktualizowany, tylko po angielsku i niemiecku, ale to tylko kilka słów do nauczenia :)
  3. Jak sie naprawde boisz- firewall, mi jakoś AntiVir starczy (a wirusów można wiele sie nabawić kiedy sie wchodzi na takie strony jak ja :] ).
  4. Tak przy okazji- wyrąbisty program do wyszukiwania i usuwania spyware'u, iektórych wirów, wszystkich dialerów (1 klik-skan, drugi- usuń i gotowe :] jak go pierwszy raz uruchomiłem to troche tego znalazł. Ma funkcje takie jak ignorowanie niektórych spyware'ów- np. jak chcesz mieć darmową kazee to trzeba jednego takiego zostawić)
    Spybot Search & Destroy - ściągnij z http://www.safer-networking.org/en/download/index.html
    (języki różne, wtym polski)
  5. I jeszcze tak przy okazji- bardzo dobre forum o różnych sytemach, tam znalazłem jak usunąć Blastera - www.computing.net (angielskie)

end. ;-)

0

Miałem podobny problem - Menedżer programów zamykał sie zaraz po uruchomieniu, nie mogłem uruchomi msconfig i wielu równie przydatnych rzeczy:), jakby tego bylo malo strasznie mulił mi system i net. Sposób okazał sie prosty w katalogu Windows miałem ciekawy pliczek "msconfig32x.exe" - po zamknięciu procesu i usunięciu pliku wszystko działa jak powinno:)
pozdrawiam

1 użytkowników online, w tym zalogowanych: 0, gości: 1